WLC(Wireless LAN Controller) 오류 및 시스템 메시지 FAQ 검토

Q. LWAPP(Lightweight Access Point Protocol) AP가 컨트롤러에 조인할 수 없습니다. WLC(무선 LAN 컨트롤러) 로그에 다음과 유사한 메시지가 표시됩니다. LWAPP Join-Request는 AP 00:0b:85:68:ab:01의 CERTIFICATE_PAYLOAD에 유효한 인증서를 포함하지 않습니다. 왜 그럴까요?

A.AP와 WLC 간의 LWAPP 터널이 MTU가 1500바이트 미만인 네트워크 경로를 통과하는 경우 이 오류 메시지를 수신할 수 있습니다. 이렇게 하면 LWAPP 패킷이 조각화됩니다. 이것은 컨트롤러에서 알려진 버그입니다. Cisco 버그 IDCSCsd39911을 참조하십시오.

컨트롤러 펌웨어를 4.0(155)으로 업그레이드하는 것이 해결책입니다.

참고: 등록된 Cisco 사용자만 내부 Cisco 버그 정보 및 툴에 액세스할 수 있습니다.

Q. DMZ(De-Militarized Zone)에서 내부 컨트롤러와 가상 앵커 컨트롤러 간에 게스트 터널링을 설정하려고 합니다. 그러나 사용자가 게스트 SSID와 연결하려고 하면 예상대로 DMZ에서 IP 주소를 수신할 수 없습니다. 따라서 사용자 트래픽은 DMZ의 컨트롤러로 터널링되지 않습니다. debug mobile handoff 명령의 출력에는 다음과 유사한 메시지가 표시됩니다. WLAN <Wlan ID>에 대한 보안 정책 불일치 스위치 IP의 앵커 내보내기 요청: <controller Ip address>이(가) 무시되었습니다. 뭐가 문제죠?

A.게스트 터널링은 기업 무선 네트워크에 대한 게스트 사용자 액세스에 대한 추가 보안을 제공합니다. 이렇게 하면 게스트 사용자가 기업 방화벽을 먼저 통과하지 않고는 기업 네트워크에 액세스할 수 없게 됩니다. 사용자가 게스트 WLAN으로 지정된 WLAN에 연결할 경우 사용자 트래픽은 기업 방화벽 외부의 DMZ에 있는 WLAN 컨트롤러로 터널링됩니다.

이제 이 시나리오를 고려할 때 이 게스트 터널링이 예상대로 작동하지 않는 데에는 몇 가지 이유가 있을 수 있습니다. debugcommand 출력에서 알 수 있듯이, 내부 및 DMZ 컨트롤러의 특정 WLAN에 대해 구성된 보안 정책이 일치하지 않는 것이 문제가 될 수 있습니다. 보안 정책과 다른 설정(예: 세션 시간 초과 설정)이 일치하는지 확인합니다.

이 문제의 또 다른 일반적인 이유는 DMZ 컨트롤러가 특정 WLAN에 대해 자체에 연결되지 않기 때문입니다. 게스트 터널링이 제대로 작동하고 DMZ가 사용자(게스트 WLAN에 속한 사용자)의 IP 주소를 관리하려면 해당 특정 WLAN에 대해 올바른 고정(anchoring)을 수행해야 합니다.

Q. 2006 WLC(Wireless LAN Controller)에서는 "CPU Receive Multicast Queue is full on Controller" 메시지가 많이 표시되지만 4400 WLC에서는 표시되지 않습니다. 왜 그럴까요? 컨트롤러에서 멀티캐스트를 비활성화했습니다. 2006과 4400 WLC 플랫폼 간의 Multicast Queue Limit의 차이점은 무엇입니까?

A. 컨트롤러에서 멀티캐스트가 비활성화되어 있으므로 이 경보를 발생시키는 메시지는 ARP(Address Resolution Protocol) 메시지일 수 있습니다. 2000 WLC와 4400 WLC 간에는 큐 깊이(512개 패킷)에 차이가 없습니다. 차이점은 4400 NPU가 ARP 패킷을 필터링하는 반면 모든 작업은 2006년에 소프트웨어에서 수행된다는 점입니다. 따라서 2006 WLC에 메시지가 표시되지만 4400 WLC에는 표시되지 않습니다. 44xx WLC는 하드웨어를 통해(CPU를 통해) 멀티캐스트 패킷을 처리합니다. 2000 WLC는 소프트웨어를 통해 멀티캐스트 패킷을 처리합니다. CPU 처리가 소프트웨어보다 더 효율적입니다. 따라서 4400의 대기열은 더 빨리 지워지는 반면 2006 WLC는 이러한 메시지가 많이 표시될 때 약간 어려움을 겪습니다.

Q. 나는 "[SECURITY] apf_foreignap.c 763: STA [00:0A:E4:36:1F:9B] 포트 1에서 패킷을 수신했지만 이 포트에 대해 구성된 외부 AP가 없습니다." 내 컨트롤러 중 하나에 오류 메시지가 있습니다. 이 오류는 무엇을 의미하며 이를 해결하기 위해 어떤 단계를 수행해야 합니까?

A.이 메시지는 컨트롤러가 상태 시스템이 없는 MAC 주소에 대한 DHCP 요청을 수신할 때 표시됩니다. 이는 VMWare와 같은 가상 머신을 실행하는 시스템 또는 브리지에서 자주 나타납니다. 컨트롤러는 액세스 포인트(AP)에 연결된 클라이언트와 연결된 주소를 알 수 있도록 DHCP 스누핑을 수행하기 때문에 DHCP 요청을 수신합니다. 무선 클라이언트의 모든 트래픽은 컨트롤러를 통과합니다. 패킷의 대상이 무선 클라이언트인 경우 컨트롤러로 이동한 다음 LWAPP(Lightweight Access Point Protocol) 터널을 지나 AP로 이동한 다음 클라이언트로 꺼집니다. 이 메시지를 완화하기 위해 수행할 수 있는 한 가지 방법은 컨트롤러에서 사용되는 VLAN을 스위치의 switch port vlan allowcommand와 함께 컨트롤러로 가는 트렁크에 허용하는 것입니다.

Q. 콘솔에 '시스템 테이블의 기본 게이트웨이 설정 실패' 메시지, ID = 0x0050b986 오류 값 = 0xfffffffc라는 오류 메시지가 표시되는 이유는 무엇입니까?

A. CPU 로드가 높기 때문일 수 있습니다. 컨트롤러 CPU가 파일 복사 또는 기타 작업을 수행할 때와 같이 로드가 많은 경우, NPU가 컨피그레이션 메시지에 대한 응답으로 전송하는 모든 ACK를 처리할 시간이 없습니다. 이 경우 CPU는 오류 메시지를 생성합니다. 그러나 오류 메시지는 서비스 또는 기능에 영향을 주지 않습니다.

자세한 내용은 Cisco Wireless LAN Controller를 참조하십시오.

Q. WCS(무선 제어 시스템)에서 WEP(Wired Equivalent Privacy) 키 오류 메시지가 표시됨: 스테이션에 구성된 WEP 키가 잘못되었을 수 있습니다. 스테이션 MAC 주소는 'xx:xx:xx:xx:xx:xx'이고, AP 기본 무선 MAC은 'xx:xx:xx:xx:xx'이며, 슬롯 ID는 '1'입니다. 그러나 네트워크에서 보안 매개변수로 WEP를 사용하지 않습니다. Wi-Fi 보호 액세스(WPA)만 사용합니다. 이러한 WEP 오류 메시지가 표시되는 이유는 무엇입니까?

A. 모든 보안 관련 컨피그레이션이 완벽하면 현재 수신하는 메시지는 버그 때문입니다. 컨트롤러에 알려진 몇 가지 버그가 있습니다. "스테이션에 구성된 WEP 키가 WPA 및 TKIP 클라이언트와 각각 다를 수 있습니다"라고 명시된 Cisco 버그 IDCSCse17260 및 Cisco but ID CSCse11202를 참조하십시오. 실제로 Cisco 버그 ID CSCse17260은 Cisco 버그 ID CSCse11202의 복제본입니다. Cisco 그러나 ID CSCse11202의 수정은 WLC 릴리스 3.2.171.5에서 이미 사용 가능합니다.

참고: 최신 WLC 릴리스에는 이러한 버그에 대한 수정 사항이 있습니다.

참고: 등록된 Cisco 사용자만 내부 Cisco 버그 정보 및 툴에 액세스할 수 있습니다.

Q. 외부 RADIUS 서버를 사용하여 컨트롤러를 통해 무선 클라이언트를 인증합니다. 컨트롤러는 이 오류 메시지를 정기적으로 전송합니다. 어떤 radius 서버도 응답하지 않습니다. 이러한 오류 메시지가 표시되는 이유는 무엇입니까?

A. 요청이 WLC에서 RADIUS 서버로 전송되는 경우 각 패킷에는 WLC에서 응답을 기대하는 시퀀스 번호가 있습니다. 응답이 없으면 radius-server not responding을 표시하는 메시지가 표시됩니다.

WLC가 RADIUS 서버에서 수신하는 기본 시간은 2초입니다. 이는 WLC GUI의 Security(보안) > authentication-server(인증 서버)에서 설정됩니다. 최대값은 30초입니다. 따라서 이 문제를 해결하려면 이 시간 초과 값을 최대값으로 설정하는 것이 좋습니다.

RADIUS 서버는 WLC에서 오는 요청 패킷의 '무성 폐기'를 수행할 때도 있습니다. RADIUS 서버는 인증서 불일치 및 기타 여러 이유로 인해 이러한 패킷을 거부할 수 있습니다. 이는 서버에서 유효한 작업입니다. 또한 이러한 경우 컨트롤러는 RADIUS 서버가 응답하지 않는 것으로 표시할 수 있습니다

자동 폐기 문제를 해결하려면 WLC에서 적극적인 장애 조치 기능을 비활성화합니다.

WLC에서 적극적인 장애 조치 기능이 활성화된 경우, WLC가 너무 적극적이어서 AAA 서버가 응답하지 않는 것으로 표시되지 않습니다. 그러나 AAA 서버는 특정 클라이언트에만 응답할 수 없으므로 이 작업을 수행하지 않아야 합니다(무음 폐기). 유효한 인증서가 있는 다른 유효한 클라이언트에 대한 응답일 수 있습니다. 그러나 WLC는 여전히 AAA 서버가 응답하지 않으며 작동하지 않는 것으로 표시할 수 있습니다.

이 문제를 해결하려면 적극적인 장애 조치 기능을 비활성화합니다. 이를 수행하기 위해 컨트롤러 CLI에서 config radius aggressive-failover disablecommand 명령을 실행합니다. 이 기능이 비활성화되면 RADIUS 서버에서 응답을 받지 못하는 3개의 연속 클라이언트가 있는 경우에만 컨트롤러가 다음 AAA 서버로 장애 조치됩니다.

Q. 여러 클라이언트가 LWAPP에 연결할 수 없으며 컨트롤러가 IAPP-3-MSGTAG015를 기록합니다. iappSocketTask: iappRecvPkt가 오류 메시지를 반환했습니다. 왜 이런 일이 일어나죠?

A.이 문제는 CCX v4를 지원하지만 10.5.1.0 이전의 클라이언트 번들 버전을 실행하는 인텔 어댑터의 문제로 인해 주로 발생합니다. 소프트웨어를 10.5.1.0 이상으로 업그레이드할 경우 이 문제가 해결됩니다. 이 오류 메시지에 대한 자세한 내용은 Cisco 버그 IDCSCsi91347을 참조하십시오.

참고: 등록된 Cisco 사용자만 내부 Cisco 버그 정보 및 툴에 액세스할 수 있습니다.

Q. WLC(Wireless LAN Controller)에서 이 오류 메시지가 표시됩니다. STA 00:05:4e:42:ad:c5에 대한 최대 EAP-ID 요청 재시도(21)에 도달했습니다. 왜 그럴까요?

A.이 오류 메시지는 사용자가 EAP로 보호된 WLAN 네트워크에 연결하려고 시도했으나 미리 구성된 수의 EAP 시도에 실패한 경우 발생합니다. 사용자가 인증에 실패하면 컨트롤러는 클라이언트를 제외하며, 클라이언트는 제외 타이머가 만료되거나 관리자가 수동으로 재정의할 때까지 네트워크에 연결할 수 없습니다.

제외는 단일 디바이스에서 이루어진 인증 시도를 탐지합니다. 해당 디바이스가 최대 실패 횟수를 초과하면 해당 MAC 주소를 더 이상 연결할 수 없습니다.

제외 발생:

• 공유 인증에 대한 5회 연속 인증 실패 후(6차 시도 제외)

• MAC 인증에 대한 5회 연속 연결 실패 후(6차 시도 제외)

• 3회 연속 EAP/802.1X 인증 실패 후(4차 시도는 제외됨)

• 모든 외부 정책 서버 실패(NAC)

• 모든 IP 주소 중복 인스턴스

• 3회 연속 웹 인증 실패 후(4번째 시도 제외)

클라이언트가 제외되는 기간에 대한 타이머를 구성할 수 있으며, 컨트롤러 또는 WLAN 레벨에서 제외를 활성화하거나 비활성화할 수 있습니다.

Q. WLC(Wireless LAN Controller)에서 이 오류 메시지가 표시됨: 카테고리 스위치의 알림이 심각도 1로 스위치 WLCSCH01/10.0.16.5에 의해 생성됩니다. 알림의 메시지는 컨트롤러 '10.0.16.5'입니다. RADIUS 서버가 인증 요청에 응답하지 않습니다. 어떤 문제가 있습니까?

A.Cisco 버그 ID CSCsc05495 때문일 수 있습니다. 이 버그 때문에 컨트롤러는 RADIUS RFP를 위반하고 일부 인증 서버에 문제를 일으키는 인증 요청 메시지에 주기적으로 잘못된 AV 쌍(특성 24, "상태")을 삽입합니다. 이 버그는 3.2.179.6에서 수정되었습니다.

참고: 등록된 Cisco 사용자만 내부 Cisco 버그 정보 및 툴에 액세스할 수 있습니다.

Q. Monitor(모니터) > 802.11b/g Radio(802.11b/g 무선)에서 Noise Profile(노이즈 프로파일) 실패 메시지가 표시됩니다. 이 FAILED(실패) 메시지가 표시되는 이유를 알고 싶습니다.

A. 노이즈 프로파일 실패/통과 상태는 WLC에서 수행한 테스트 결과 이후에 현재 설정된 임계값과 비교하여 설정됩니다. 기본적으로 노이즈 값은 -70으로 설정됩니다. FAILED 상태는 해당 특정 매개변수 또는 액세스 포인트(AP)의 임계값이 초과되었음을 나타냅니다. 프로필에서 매개변수를 조정할 수 있지만, 네트워크 설계 및 네트워크 성능에 영향을 줄 수 있는 방법을 명확하게 파악한 후 설정을 변경하는 것이 좋습니다.

RRM(Radio Resource Management) PASSED/FAILED 임계값은 802.11a Global Parameters(802.11a 전역 매개변수) > Auto RFand 802.11b/g Global Parameters(802.11b/g 전역 매개변수) > Auto RFpages(자동 RF 페이지)의 모든 AP에 대해 전역적으로 설정됩니다. RRM 통과/실패 임계값은 802.11 AP Interfaces(802.11 AP 인터페이스) > Performance Profile(성능 프로필) 페이지에서 이 AP에 대해 개별적으로 설정됩니다.

Q. 포트 2를 AP-manager 인터페이스의 백업 포트로 설정할 수 없습니다. 반환된 오류 메시지는 포트 구성을 설정할 수 없습니다. 관리 인터페이스의 백업 포트로 포트 2를 설정할 수 있습니다. 두 인터페이스의 현재 활성 포트는 포트 1입니다. 왜 그럴까요?

A.AP-Manager에는 백업 포트가 없습니다. 이전 버전에서는 지원되었던 기능입니다. 버전 4.0 이상에서는 AP-manager 인터페이스의 백업 포트가 지원되지 않습니다. 원칙적으로 각 포트에 단일 AP-Manager를 구성해야 합니다(백업 없음). LAG(Link Aggregation)를 사용하는 경우 AP-manager가 하나만 있습니다.

고정(또는 영구) AP-manager 인터페이스는 배포 시스템 포트 1에 할당해야 하며 고유한 IP 주소를 가져야 합니다. 백업 포트에 매핑할 수 없습니다. 일반적으로 관리 인터페이스와 동일한 VLAN 또는 IP 서브넷에 구성되지만 이는 필수 사항이 아닙니다.

Q. 이 오류 메시지가 표시됩니다. AP '00:0b:85:67:6b:b0'이(가) 스테이션 '00:13:02:8d:f6:41'에서 프로토콜 '1'에 대한 WPA MIC 오류를 수신했습니다. 카운터 조치가 활성화되고 트래픽이 60초 동안 일시 중단되었습니다. 왜 그럴까요?

WPA(Wi-Fi Protected Access)에 통합된 MIC(Message Integrity Check)에는 중간자 공격(man-in-the-middle attack)을 방지하는 프레임 카운터가 포함되어 있습니다. 이 오류는 네트워크에 있는 누군가가 원래 클라이언트가 보낸 메시지를 재생하려고 하거나 클라이언트에 오류가 있음을 의미할 수 있습니다.

클라이언트가 MIC 검사에 반복적으로 실패하면 컨트롤러는 60초 동안 오류가 탐지된 AP 인터페이스에서 WLAN을 비활성화합니다. 첫 번째 MIC 실패가 기록되고, 대응책 시행을 가능하게 하기 위해 타이머가 개시된다. 가장 최근의 이전 실패 60초 이내에 후속 MIC 실패가 발생하는 경우, IEEE 802.1X 엔티티가 서플리컨트로서 행동한 STA는 자신을 무효화하거나 IEEE 802.1X 엔티티가 인증자로서 행동한 경우 보안 연계를 가진 모든 STA를 무효화해야 합니다.*

또한 디바이스는 TKIP 암호화 데이터 프레임을 수신 또는 전송하지 않으며, IEEE 802.1X 메시지 이외의 암호화되지 않은 데이터 프레임을 수신 또는 전송하지 않으며, 두 번째 장애를 탐지한 후 최소 60초 동안 어떤 피어와도 송수신하지 않습니다. 디바이스가 AP인 경우 이 60초 기간 동안 TKIP와의 새로운 연결을 허용하지 않습니다. 60초 기간이 끝나면 AP는 정상적인 운영을 재개하고 STA가 (다시) 연결할 수 있도록 합니다.

이렇게 하면 암호화 체계에 대한 가능한 공격을 방지할 수 있습니다. 4.1 이전의 WLC 버전에서는 이러한 MIC 오류를 끌 수 없습니다. Wireless LAN Controller 버전 4.1 이상에서는 MIC 오류에 대한 스캔 시간을 변경하는 명령이 있습니다. 이 명령은 isconfig wlan security tkip hold-down <0-60초> <wlan id>입니다. 대책을 위해 MIC 오류 감지를 비활성화하려면 값 0을 사용합니다.

*무효화: 인증을 종료합니다.

Q. 이 오류 메시지는 내 컨트롤러 로그에 표시됩니다. [ERROR] dhcp_support.c 357: dhcp_bind(): servPort dhcpdstate 실패. 왜 그럴까요?

A.이러한 오류 메시지는 컨트롤러의 서비스 포트에 DHCP가 활성화되어 있지만 DHCP 서버에서 IP 주소를 수신하지 않은 경우 주로 나타납니다.

기본적으로 물리적 서비스 포트 인터페이스에는 DHCP 클라이언트가 설치되어 있으며 DHCP를 통해 주소를 찾습니다. WLC는 서비스 포트에 대한 DHCP 주소를 요청하려고 시도합니다. 사용 가능한 DHCP 서버가 없으면 서비스 포트에 대한 DHCP 요청이 실패합니다. 따라서 오류 메시지가 생성됩니다.

해결 방법은 서비스 포트에 고정 IP 주소를 구성하거나(서비스 포트의 연결이 끊어진 경우에도) DHCP 서버를 사용하여 서비스 포트에 IP 주소를 할당하는 것입니다. 그런 다음 필요한 경우 컨트롤러를 다시 로드합니다.

서비스 포트는 컨트롤러의 OOB(Out of Band) 관리 및 시스템 복구, 네트워크 장애 시 유지 관리를 위해 예약되어 있습니다. 또한 컨트롤러가 부팅 모드에 있을 때 활성화되는 유일한 포트입니다. 서비스 포트는 802.1Q 태그를 포함할 수 없습니다. 따라서 네이버 스위치의 액세스 포트에 연결해야 합니다. 서비스 포트 사용은 선택 사항입니다.

서비스 포트 인터페이스는 서비스 포트를 통한 통신을 제어하며 시스템에 의해 서비스 포트에 정적으로 매핑됩니다. 관리, AP-manager 및 동적 인터페이스와 다른 서브넷의 IP 주소가 있어야 합니다. 또한 백업 포트에 매핑할 수 없습니다. 서비스 포트는 DHCP를 사용하여 IP 주소를 얻거나 고정 IP 주소를 할당할 수 있지만 기본 게이트웨이는 서비스 포트 인터페이스에 할당할 수 없습니다. 고정 경로는 서비스 포트에 대한 원격 네트워크 액세스를 위해 컨트롤러를 통해 정의할 수 있습니다.

Q. 무선 클라이언트가 WLAN(무선 LAN) 네트워크에 연결할 수 없습니다. AP(액세스 포인트)가 연결되어 있는 WiSM은 이 메시지를 보고합니다. Base Radio MAC 00:0g:23:05:7d:d0, Slot ID 0 및 Source MAC 00:00:00:00:00. 이것은 무엇을 의미합니까?

A. MAC 계층은 매체에 액세스하기 위한 조건으로 자신의 네트워크 할당 벡터(NAV)의 값을 확인합니다. NAV는 각 스테이션에 상주하는 카운터로서, 이전 프레임이 자신의 프레임을 전송해야 하는 시간을 나타낸다. 스테이션이 프레임을 보내려고 시도하려면 NAV가 0이어야 합니다. 스테이션은 프레임을 전송하기 전에 프레임 길이 및 데이터 전송률을 기반으로 프레임을 전송하는 데 필요한 시간을 계산한다. 스테이션은 이 시간을 나타내는 값을 프레임의 헤더에 있는 지속 시간 필드에 배치합니다. 스테이션이 프레임을 수신하면 이 duration 필드 값을 검토하고 이를 기반으로 해당 NAV를 설정합니다. 이 프로세스에서는 송신 스테이션의 미디어를 예약합니다.

높은 NAV는 팽창된 NAV 값(802.11에 대한 가상 캐리어 감지 메커니즘)의 존재를 나타낸다. 보고된 MAC 주소가 00:00:00:00:00이면 스푸핑된 것일 수 있으며(잠재적으로 실제 공격) 패킷 캡처로 확인해야 합니다.

Q. 컨트롤러를 구성하고 재부팅한 후에는 보안 웹(https) 모드에서 컨트롤러에 액세스할 수 없습니다. 컨트롤러 보안 웹 모드: 보안 웹: 웹 인증 인증서를 찾을 수 없음(오류)에 액세스하는 동안 이 오류 메시지가 수신되었습니다. 이 문제의 원인은 무엇입니까?

A. 이 문제와 관련된 몇 가지 이유가 있을 수 있습니다. 하나의 일반적인 이유는 컨트롤러의 가상 인터페이스 컨피그레이션과 관련될 수 있다. 이 문제를 해결하려면 가상 인터페이스를 제거한 다음 다음 다음 명령을 사용하여 다시 생성합니다.

WLC>config interface address virtual 1.1.1.1

그런 다음 컨트롤러를 재부팅합니다. 컨트롤러가 재부팅되면 다음 명령을 사용하여 컨트롤러에 로컬로 webauth 인증서를 다시 생성합니다.

WLC>config certificate generate webauth

이 명령의 출력에서 웹 인증 인증서가 생성되었다는 메시지를 볼 수 있습니다.

이제 재부팅 시 컨트롤러의 보안 웹 모드에 액세스할 수 있습니다.

Q. 컨트롤러는 때때로 공격자 MAC 주소가 해당 컨트롤러에 조인된 액세스 포인트(AP)의 주소인 유효한 클라이언트에 대해 이 IDS Disassociation Flood Signature 공격 알림 메시지를 보고합니다. 알림: IDS 'Disassoc flood' 시그니처 공격이 컨트롤러 'x.x.x.x'의 AP '<AP name>' 프로토콜 '802.11b/g'에서 탐지되었습니다. 시그니처 설명은 'Disassociation flood'이며, 우선순위가 'x'입니다. 공격자 mac 주소는 'hh:hh:hh:hh:hh'이고, 채널 번호는 'x'이며, 탐지 수는 'x'입니다. 왜 이런 일이 발생할까요?

A.이는 Cisco 버그 IDCSCsg81953 때문입니다.   

참고: 등록된 Cisco 사용자만 내부 Cisco 버그 정보 및 툴에 액세스할 수 있습니다.

유효한 클라이언트에 대한 IDS 연결 해제 플러드 공격은 공격자 MAC 주소가 해당 컨트롤러에 조인된 AP의 주소인 경우에 보고되기도 합니다.

클라이언트가 AP에 연결되어 있지만 카드 제거 때문에 통신이 중지되면 AP가 범위를 벗어나서 로밍하는 등 유휴 시간 제한까지 AP가 대기합니다. 유휴 시간 제한에 도달하면 AP가 클라이언트에 연결 해제 프레임을 보냅니다. 클라이언트가 연결 해제 프레임을 승인하지 않으면 AP는 프레임을 여러 번 재전송합니다(약 60프레임). 컨트롤러의 IDS 하위 시스템은 이러한 재전송을 듣고 이 메시지를 통해 알림을 전송합니다.

이 버그는 버전 4.0.217.0에서 해결됩니다. 유효한 클라이언트 및 AP에 대한 이 알림 메시지를 극복하려면 컨트롤러 버전을 이 버전으로 업그레이드하십시오.

Q. 컨트롤러의 syslog에서 [WARNING] apf_80211.c 2408 오류 메시지를 받았습니다. <xx:xx:xx:xx:xx:xx> [ERROR] apf_utils.c 198: 지원되는 속도가 없습니다. 왜 그럴까요?

A.실제로 Missing Supported Rate(지원 속도 누락) 메시지는 무선 설정에서 특정 필수 데이터 속도에 대해 WLC가 구성되었지만 NIC 카드에 필수 속도가 없음을 나타냅니다.

컨트롤러에서 데이터 속도(예: 1M 및 2M)가 필수 값으로 설정되었지만 NIC 카드가 이러한 데이터 속도로 통신하지 않는 경우 이러한 종류의 메시지를 수신할 수 있습니다. 이는 NIC 카드 오동작입니다. 반면, 컨트롤러가 802.11g로 활성화되어 있고 클라이언트가 802.11b(전용) 카드인 경우 이는 올바른 메시지입니다. 이러한 메시지로 인해 문제가 발생하지 않고 카드가 계속 연결될 수 있는 경우 이러한 메시지는 무시될 수 있습니다. 메시지가 특정 카드인 경우 이 카드의 드라이버가 최신 버전인지 확인합니다.

Q. 이 syslog AP:001f.ca26.bfb4: %LWAPP-3-CLIENTERRORLOG: Decode Msg: could not match WLAN ID <id> 오류 메시지가 네트워크에서 브로드캐스트됩니다. 왜 이런 현상이 발생하며 어떻게 중지해야 합니까?

A.이 메시지는 LAP에서 브로드캐스트됩니다. 이는 WLAN에 대한 WLAN 재정의 기능을 구성했으며 특정 WLAN이 알려지지 않은 경우에 나타납니다.

메시지를 서버로만 브로드캐스트하도록 syslog 서버가 있는 경우 특정 IP 주소를 입력하여 중지하거나 특정 IP 주소를 설정할 수 있도록 ap syslog host global 0.0.0을 구성합니다.

Q. WLC(Wireless LAN Controller)에서 이 오류 메시지를 받았습니다. [ERROR] 파일: apf_mm.c : 줄: 581 : Announce collision for mobile 00:90:7a:05:56:8a, 삭제 중. 왜 그럴까요?

A.일반적으로 이 오류 메시지는 컨트롤러가 무선 클라이언트(즉, 별도의 AP가 클라이언트가 있음을 알린다)에 대해 충돌을 알렸고, 컨트롤러가 한 AP에서 다음 AP로의 핸드오프를 수신하지 않았음을 나타냅니다. 유지 관리할 네트워크 상태가 없습니다. 무선 클라이언트를 삭제하고 클라이언트가 다시 시도하도록 합니다. 이 문제가 자주 발생하면 모빌리티 컨피그레이션에 문제가 발생할 수 있습니다. 그렇지 않으면 특정 클라이언트 또는 상태와 관련된 이상 현상일 수 있습니다.

Q. 내 컨트롤러가 '12'의 커버리지 임계값을 위반했다는 알람 메시지를 표시합니다. 이 오류는 무엇이며 어떻게 해결할 수 있습니까?

A.이 경보 메시지는 클라이언트 SNR(Signal-to-Noise Ratio)이 특정 무선의 SNR 임계값보다 작은 값으로 떨어질 때 발생합니다. 12는 커버리지 홀 감지를 위한 기본 SNR 임계값입니다.

커버리지 홀 검출 및 보정 알고리즘은 클라이언트의 SNR 레벨이 지정된 SNR 임계값보다 작을 때 커버리지 홀이 존재하는지 여부를 결정합니다. 이 SNR 임계값은 AP 전송 전력과 컨트롤러 커버리지 프로파일 값의 두 값에 따라 달라집니다.

구체적으로 클라이언트 SNR 임계값은 각 AP의 전송 전력(dBm으로 표시)에서 상수 값 17dBm을 뺀 값, 사용자 구성 가능한 커버리지 프로필 값을 뺀 값으로 정의됩니다(이 값은 기본적으로 12dB로 설정됨).

• 클라이언트 SNR 차단 값(|dB|) = [AP 전송 전력(dBm) - 상수(17dBm) - 커버리지 프로파일(dB)]

사용자 구성 가능한 커버리지 프로파일 값은 다음과 같은 방법으로 액세스할 수 있습니다.

1. WLC GUI에서 Wireless(무선)의 주 머리글로 이동하고 왼쪽에서 선택한 WLAN 표준에 대한 Network(네트워크) 옵션을 선택합니다(802.11a 또는 802.11b/g). 그런 다음 창 오른쪽 위에서 Auto RF(자동 RF)를 선택합니다.

2. Auto RF Global parameters(자동 RF 전역 매개변수) 페이지에서 Profile Thresholds(프로파일 임계값) 섹션을 찾습니다. 이 섹션에서는 Coverage (3~50dbm) 값을 찾을 수 있습니다. 이 값은 사용자 구성 가능한 커버리지 프로파일 값입니다.

3. 이 값은 클라이언트 SNR 임계값에 영향을 주도록 편집될 수 있다. 이 SNR 임계값에 영향을 주는 다른 방법은 송신 전력을 증가시키고 커버리지 홀 검출을 보상하는 것이다.

Q. ACS v 4.1 및 4402 WLC(Wireless LAN Controller)를 사용합니다. WLC가 ACS 4.1에 대한 무선 클라이언트의 MAC 인증을 시도할 때 ACS가 ACS에 응답하지 못하고 "내부 오류가 발생했습니다"라는 오류 메시지를 보고합니다. 모든 구성이 정확합니다. 이 내부 오류가 발생하는 이유는 무엇입니까?

A.ACS 4.1에 Cisco 버그 IDCSCsh62641과 관련된 인증이 있습니다. 여기서 ACS는 Internal error has occurerror 메시지를 제공합니다.

이 버그가 문제가 될 수 있습니다. ACS 4.1 다운로드 사이트에 이 버그에 대해 사용 가능한 패치가 있어 문제를 해결할 수 있습니다.

참고: 등록된 Cisco 사용자만 내부 Cisco 버그 정보 및 툴에 액세스할 수 있습니다.

Q. Cisco 4400 Series WLC(Wireless LAN Controller)를 부팅할 수 없습니다. 이 오류 메시지는 컨트롤러에서 수신되었습니다. ** Unable to use ide 0:4 for fatload ** Error (no IRQ) dev 0 blk 0: status 0x51 Error reg: 10 ** Device 0에서 읽을 수 없습니다. 왜 그럴까요?

A.이 오류의 원인은 하드웨어 문제일 수 있습니다. 이 문제를 더 자세히 해결하려면 TAC 케이스를 여십시오. TAC 케이스를 열려면 Cisco와 유효한 계약을 체결해야 합니다. Cisco TAC에 문의하려면 기술 지원을 참조하십시오.

Q. WLC(Wireless LAN Controller)에서 메모리 버퍼 문제가 발생합니다. 메모리 버퍼가 가득 차면 컨트롤러가 충돌하며 다시 온라인 상태로 전환하려면 컨트롤러를 재부팅해야 합니다. 이러한 오류 메시지는 메시지 로그에 표시됩니다. Mon 9 10:41:03 2007 [ERROR] dtl_net.c 506: Out of System buffers Mon 9 10:41:03 2007 [ERROR] sysapi_if_net.c 537: 새 Mbuf를 할당할 수 없습니다. 2007년 4월 9일 월요일 10:41:03 [ERROR] sysapi_if_net.c 219: MbufGet: no free Mbuf. 왜 그럴까요?

A.이는 Cisco 버그 IDCSCsh93980 때문입니다. 이 버그는 WLC 버전 4.1.185.0에서 해결되었습니다. 이 메시지를 극복하기 위해 컨트롤러를 이 소프트웨어 버전 이상으로 업그레이드하십시오.

참고: 등록된 Cisco 사용자만 내부 Cisco 버그 정보 및 툴에 액세스할 수 있습니다.

Q. WLC(Wireless LAN Controller) 4400s를 4.1 코드로 업그레이드했는데 syslog에 다음과 같은 메시지가 표시되었습니다. May03 03:55:49.591 dtl_net.c:1191 DTL-1-ARP_POISON_DETECTED: STA [00:17:f2:43:26:93, 0.0.0.0] ARP (op 1) invalid SPA 192.168.1.233/TPA 192.168.1.233. 이 메시지는 무엇을 의미합니까?